WO2019242052A1

WO2019242052A1 - 一种针对HTTP Flood攻击的防护方法及装置

Info

Publication number: WO2019242052A1
Application number: PCT/CN2018/095433
Authority: WO
Inventors: 马涛; 杨光
Original assignee: 网宿科技股份有限公司
Priority date: 2018-06-19
Filing date: 2018-07-12
Publication date: 2019-12-26
Also published as: EP3618395A4; EP3618395B1; EP3618395A1; US20210367967A1; CN108429772A

Abstract

本发明公开了一种针对 HTTP Flood 攻击的防护方法及装置，该方法包括：当使用第一防护策略进行防护时，检测所述第一防护策略的防护性能；当所述第一防护策略的防护性能不满足要求时，使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。本发明实施例提供的针对 HTTP Flood 攻击的防护方法及装置，能够自动的对攻击方式及防护效果进行检测，并针对不同的攻击方式对使用的防护策略进行自动调整，既能够提升防护效果，又能够较大程度地降低对用户正常使用的影响，并且及时性好。

Description

一种针对HTTP Flood攻击的防护方法及装置

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种针对HTTP Flood攻击的防护方法及装置。

背景技术

超文本传输协议洪水(Hyper Text Transfer Protocol Flood，HTTP Flood)攻击是一种主要针对服务器进行攻击的方式。目前，针对HTTP Flood攻击的防护方法是在客户端与服务器中间设置一防护设备，当客户端与服务器建立传输控制协议(Transmission Control Protocol，TCP)连接后，客户端可以向服务器发送HTTP请求，防护设备在获取到所述HTTP请求后，采用预设的防护策略对HTTP请求进行验证，验证通过后向服务器发送HTTP请求，否则进行拦截，从而防止攻击端发送HTTP请求攻击服务器。

随着攻防对抗的演进，在有些攻击端上配置的攻击程序已经能够针对一般性的防护策略进行分析，从而突破了一些简单的防护策略。同时，攻击端在攻击过程中，也会分析攻击效果，当效果不好时，会提升攻击的强度和攻击类型，以便突破当前的防护策略。

通常，防护策略需要事先配置，而对于配置管理员来讲，由于无法预测攻击的强度和类型，因此事先配置的防护策略要么过于宽松而导致防护效果不好，要么过于严格而导致影响正常用户请求。当受到不同强度和类型的攻击时，运维人员需要针对不同的攻击方式进行策略的调整，及时性很差，无法及时下发行之有效的防护策略，从而造成业务因攻击而中断。并且在防护过程中，运维人员针对当前攻击所采用的防护策略，无法评估其是否有效，因此需要时时关注攻击和防护的状态以及对正常用户的请求的影响，运维难度非常大。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种针对HTTP Flood攻击的防护方法及装置。所述技术方案如下：

第一方面，提供了一种针对HTTP Flood攻击的防护方法，所述方法包括：

当使用第一防护策略进行防护时，检测所述第一防护策略的防护性能；

当所述第一防护策略的防护性能不满足要求时，使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。

可选的，检测所述第一防护策略的防护性能，包括：

统计预定时间间隔内向服务器发送的HTTP请求的数量，当向服务器发送的HTTP请求的数量大于第一阈值时，确定所述第一防护策略的防护性能不满足要求。

可选的，检测所述第一防护策略的防护性能，包括：

统计预定时间间隔内向服务器发送的HTTP请求的流量，当向服务器发送的HTTP请求的流量大于预设流量时，确定所述第一防护策略的防护性能不满足要求。

可选的，检测所述第一防护策略的防护性能，包括：

按照预设周期向服务器发送检测信息，当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，确定所述第一防护策略的防护性能不满足要求。

可选的，所述检测信息为预设的检测信息，所述按照预设周期向服务器发送预设的检测信息之后，还包括：

当所述服务器处于服务状态时，所述服务器接收到所述预设的检测信息后，获取预存的响应信息；

向所述防护设备发送所述响应信息。

可选的，所述按照预设周期向服务器发送检测信息，还包括：

按照预设周期将目标HTTP请求的源地址更换为防护设备的IP地址，得到携带有所述防护设备的IP地址的检测信息，所述目标HTTP请求为客户端发送的HTTP请求中的任意一个经过验证的请求；

向所述服务器发送所述检测信息。

可选的，向所述服务器发送所述检测信息之后，包括：

当接收到所述服务器基于所述检测信息发送的响应信息时，将所述响应信息中的目的地址更换为所述目标HTTP请求中的源地址；

发送更换目的地址后的所述响应信息。

可选的，所述方法还包括：

统计每个预定时间间隔内接收到的HTTP请求的数量；

当所述预定时间间隔内接收到的HTTP请求的数量大于第二阈值时，使用所述第一防护策略进行防护；

当连续预设数量的预定时间间隔内接收到的HTTP请求的数量均不大于第二阈值时，停止防护。

第二方面，提供了一种针对HTTP Flood攻击的防护装置，所述装置包括：

检测单元，用于当使用第一防护策略进行防护时，检测所述第一防护策略的防护性能；

防护单元，用于当所述第一防护策略的防护性能不满足要求时，使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。

可选的，所述检测单元，具体用于统计预定时间间隔内向服务器发送的HTTP请求的数量，

所述防护单元，具体用于当向服务器发送的HTTP请求的数量大于第一阈值时，确定所述第一防护策略的防护性能不满足要求。

可选的，所述检测单元，还用于统计预定时间间隔内向服务器发送的HTTP请求的流量；

所述防护单元，还用于当向服务器发送的HTTP请求的流量大于预设流量时，确定所述第一防护策略的防护性能不满足要求。

可选的，所述检测单元，还用于按照预设周期向服务器发送检测信息；

所述防护单元，还用于当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，确定所述第一防护策略的防护性能不满足要求。

可选的，所述检测信息为预设的检测信息；

所述检测单元，还用于当所述服务器处于服务状态时，接收所述服务器基于所述预设的检测信息发送的预存的响应信息。

可选的，所述检测单元，还用于按照预设周期将目标HTTP请求的源地址更换为防护设备的IP地址，得到携带有所述防护设备的IP地址的检测信息，所述目标HTTP请求为客户端发送的HTTP请求中的任意一个经过验证的请求；向所述服务器发送所述检测信息。

可选的，所述检测单元，还用于当接收到所述服务器基于所述检测信息发送的响应信息时，将所述响应信息中的目的地址更换为所述目标HTTP请求中的源地址；发送更换目的地址后的所述响应信息。

可选的，所述防护单元，还用于统计每个预定时间间隔内接收到的HTTP请求的数量；当所述预定时间间隔内接收到的HTTP请求的数量大于第二阈值时，使用所述第一防护策略进行防护；当连续预设数量的预定时间间隔内接收到的HTTP请求的数量均不大于第二阈值时，停止防护。

第三方面，提供了一种防护设备，所述防护设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现第一方面所述的防护方法。

本发明实施例提供的针对HTTP Flood攻击的防护方法及装置，能够自动的对攻击方式及防护效果进行检测，并针对不同的攻击方式对使用的防护策略进行自动调整，既能够提升防护效果，又能够较大程度地降低对用户正常使用的影响，并且及时性好。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种系统框架示意图；

图2是本发明实施例提供的一种针对HTTP Flood攻击的防护方法流程图；

图3是本发明实施例提供的另一种针对HTTP Flood攻击的防护方法流程图；

图4是本发明实施例提供的一种针对HTTP Flood攻击的防护装置的结构示意图；

图5是为本发明实施例提供的一种防护设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明实施例提供了一种针对HTTP Flood攻击的防护方法，该方法可以应用于图1所示的系统框架中。该系统框架包括客户端、防护设备以及服务器。客户端连接防护设备，防护设备连接服务器。客户端包括正常客户端以及攻击端。该服务器可以为服务器集群。防护设备接收并验证客户端向服务器发送的HTTP请求，对恶意请求进行防护和过滤，正常的请求被转发到服务器。

当不存在攻击时，防护设备可以不进行防护，也就是说，接收到的HTTP请求之后，无需验证该HTTP请求的安全性，而是直接向服务器发送该HTTP请求。防护设备确定是否存在攻击的过程为，确定每个预定时间间隔(例如，5秒)内接收到的HTTP请求的数量，当任一预定时间间隔内接收到的HTTP请求的数量超过阈值，即第二阈值时，可以认为存在攻击，否则可以认为不存在攻击。需要说明的是，每个预定时间间隔在时间上可以是连续的，也就是说上个预定时间间隔的结束时刻为下个预定时间间隔的起始时刻，每个预定时间间隔在时间上也可以是不连续的。

当存在攻击时，防护设备开始进行防护。防护设备进行防护的过程包括：接收客户端发送的HTTP请求，解析接收到的HTTP请求，当HTTP请求中不包含验证信息时，向该客户端发送用于获得验证信息的数据，客户端接收到该数据后再获得该数据对应的验证信息，重新向防护设备发送包含验证信息的HTTP请求，防护设备接收到HTTP请求后，解析出HTTP请求中的验证信息并进行验证，当验证通过后向服务器发送该HTTP请求。而攻击端在攻击服务器时，一般只负责发送大量的HTTP请求，而不会接收防护设备发送的验证信息或者接收后不做解析，从而无法发送新的带有验证信息的HTTP请求，没有通过防护设备验证的HTTP请求即为攻击端发送的恶意请求，将被丢弃而不会转发给服务器，通过防护设备验证的HTTP请求为正常的请求，将通过防护设备转发给服务器，因此防护设备能够拦截攻击端发送的HTTP请求，避免攻击端的恶意请求对服务器造成影响。

防护设备中存储有防护策略集合，所述防护策略集合中包括至少两种防护等级的防护策略，例如302跳转验证的防护策略，javascript脚本验证的防护策略或图片验证的防护策略。在具体实施中，可以根据攻击端破解防护策略的难易程度对防护策略划分防护等级。例如，对于302跳转验证的防护策略，防护设备发送的数据中携带有验证信息，所以可以直接从该数据中获取到验证信息，而对于javascript脚本验证的防护策略，需要根据脚本中的程序进行相应计算才能生成验证信息，攻击端更不容易破解javascript脚本验证的防护策略，javascript脚本验证的防护策略的防护等级高于302跳转验证的防护策略的防护等级。对于图片验证的防护策略，需要用户根据图片输入验证信息，其防护等级更高。

当防护设备由不防护状态进入防护状态时，可以使用默认防护策略进行保护，例如使用防护等级最低的防护策略。当使用当前防护策略进行防护时，服务器仍受到攻击，则可以采用比当前防护等级更高的防护策略进行防护，以下对该过程进行详细说明。

参见图2，为本发明实施例提供的一种针对HTTP Flood攻击的防护方法的流程图，该方法具体应用于防护设备中，也即由防护设备来执行，该方法可以包括以下步骤。

步骤201，当使用第一防护策略进行防护时，检测所述第一防护策略的防护性能。

所述第一防护策略可以为防护策略集合中的任一防护策略。

步骤202，当所述第一防护策略的防护性能不满足要求时，使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。

当存在攻击时，也就是说当防护设备开始进行防护时，可以检测当前使用的第一防护策略的防护性能，或者说是防护效果，当所述第一防护策略的防护性能不满足要求时，改用防护等级更高的防护策略进行防护，从而实现对防护策略的自动调整。

本发明实施例提供了两种检测所述第一防护策略的防护性能的方式。

检测方式一，统计预定时间间隔内向服务器发送的HTTP请求的数量或流量。

攻击端在进行攻击服务器时，会发送大量的恶意请求，当当前使用的防护策略对于当前的恶意攻击的防护性能较差时，不能检测出这些恶意请求，误将其认为合法的HTTP请求，而将大量的恶意请求转发给服务器。所以当检测到预定时间间隔内向服务器发送的HTTP请求的数量大于第一阈值时，或者向服务器发送的HTTP请求的流量大于预设流量时，可以确定当前使用的防护策略的防护性能较差，不满足要求，此时需要使用较当前使用的防护策略防护等级更高的防护策略进行防护。

检测方式二，按照预设周期向服务器发送检测信息，当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，确定所述第一防护策略的防护性能不满足要求。

在具体实施中，防护设备可以同时采用检测方式一和检测方式二进行防护，或者单独采用其中一种检测方式进行防护。

在本发明实施例中，可以多次升级所使用的防护策略。也就是说，每当发现当前使用的防护策略的防护性能不满足要求时即可对防护策略进行升级。例如，当前使用的防护策略为302跳转验证的防护策略，当升级后，可以使用javascript脚本验证的防护策略。一旦发现使用javascript脚本验证的防护策略时，服务器仍收到了攻击，则继续升级，改用图片验证的防护策略进行防护。防护策略集合中的各个防护策略可以按照防护等级的高低进行排序，当每进行防护策略的升级时，可以使用比当前防护策略高一级的防护策略。如果当前所使用的防护策略为最高防护等级，可以继续检测服务器的服务状态，当检测到服务器没有处于服务状态，说明最高防护等级的防护策略也无法防护当前的攻击，继而可以进一步提升防护策略的防护等级。

防护设备在进行防护时，可以统计每个预定时间间隔内接收到的HTTP请求的数量，当连续预设数量的预定时间间隔内接收到的HTTP请求的数量均不大于第二阈值时，说明已不存在攻击，可以停止防护。本发明实施例中的第一阈值与第二阈值可以相等，也可以不等，在此不做具体限定。

以下，对检测方式二进行详细说明。

参见图3，为本发明实施例提供的一种针对HTTP Flood攻击的防护方法的流程图，该方法具体应用于防护设备中，也即由防护设备来执行，该方法可以包括以下步骤。

步骤301，防护设备使用第一防护策略进行防护，并按照预设周期向服务器发送检测信息。

当存在攻击时，也就是说当防护设备开始进行防护时，可以按照预设周期向服务器发送检测信息，检测服务器是否处于服务状态，根据服务器的服务状态来判断当前防护策略针对当前攻击的防护效果。当防护设备处于防护状态时，可以持续检测服务器的服务状态，直至停止防护。

步骤302，当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，所述防护设备使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。

当服务器处于服务状态时，服务器可以接收到防护设备发来的检测信息，并根据该检测信息向防护设备发送响应信息；而当服务器受到攻击而没有处于服务状态时，服务器则无法接收到的防护设备发来的检测信息，或者无法根据该检测信息向防护设备发送响应信息，防护设备也就无法接收到响应信息。防护设备没有接收到响应信息包括没有接收到任何信息的情况，也包括接收到提示错误的信息的情况。

防护设备可以采用两种实施方式向服务器发送的检测信息，以下进行分别介绍。

实施方式一

所述防护设备按照预设周期向服务器发送预设的检测信息，也就是说，防护设备每次发送的检测信息都相同。该预设的检测信息可以为完整的HTTP请求，也可以只包括HTTP请求中的请求头部，使用的检测信息只要能够被服务器识别即可，此处不对检测信息的格式进行具体限定。服务器中预存有检测信息对应的响应信息。也就是说该检测信息对应一个固定的页面，并且可以使用固定的域名来访问该页面。

当服务器处于服务状态时，所述服务器接收到所述预设的检测信息后，获取预存的响应信息，再向所述防护设备发送所述响应信息。防护设备接收到该响应信息后，可以确定服务器处于正常服务状态。当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，可以确定服务器没有处于服务状态，即可将当前防护策略升级到更高等级的防护策略。

需要说明的是，服务器中也可以不预存有检测信息对应的响应信息，并且检测信息可以为完整的HTTP请求，服务器可以基于该HTTP请求进行正常的响应服务，从而向防护设备发送响应信息。该响应服务类似于基于客户端发送的HTTP请求进行的响应服务。

实施方式二

所述防护设备按照预设周期将目标HTTP请求的源地址更换为防护设备的互联网协议(Internet Protocol，IP)地址，并将携带有防护设备IP地址的HTTP请求作为检测信息，所述目标HTTP请求为客户端发送的HTTP请求中的任意一个经过验证的请求。所述防护设备再向服务器发送所述检测信息。服务器可以根据该HTTP请求进行正常响应服务，并向防护设备发送响应信息。当接收到所述服务器基于所述检测信息发送的响应信息时，说明服务器处于服务状态，所述防护设备将所述响应信息中的目的地址更换为所述目标HTTP请求中的源地址，并发送更换目的地址后的所述响应信息。

该实施方式将客户端发送的HTTP请求通过更换源地址后作为检测信息，使服务器根据该检测信息向防护设备发送响应信息，防护设备接收到响应信息后，再更换目标地址，以使该客户端接收到响应信息，这样即能够检测服务器是否处于服务状态，又不影响客户端的正常访问，也不会因为周期性地发送额外的检测信息，而增加服务器的负担。

本发明实施例提供的针对HTTP Flood攻击的防护方法，能够自动的对攻击方式及防护效果进行检测，并能够针对不同的攻击方式对使用的防护策略进行自动调整，即默认使用防护等级较低的防护策略进行防护，当检测到当前防护策略不足以防护当前的攻击，致使防护效果不佳时，将自适应将当前防护策略升级到较高等级的防护策略，直至能够抵挡当前的攻击。如此，既能够提升防护效果，又能够较大程度地降低对用户正常使用的影响，并且及时性好。

参见图4，为本发明实施例提供的一种针对HTTP Flood攻击的防护装置的结构示意图，该装置可以配置于防护设备中，或者为防护设备本身。该装置可以包括检测单元401和防护单元402。

其中，检测单元401，用于当使用第一防护策略进行防护时，检测所述第一防护策略的防护性能。

防护单元402，用于当所述第一防护策略的防护性能不满足要求时，使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。

优选地，所述检测单元401，具体用于统计预定时间间隔内向服务器发送的HTTP请求的数量；所述防护单元402，具体用于当向服务器发送的HTTP请求的数量大于第一阈值时，确定所述第一防护策略的防护性能不满足要求。

优选地，所述检测单元401，还用于统计预定时间间隔内向服务器发送的HTTP请求的流量；所述防护单元402，还用于当向服务器发送的HTTP请求的流量大于预设流量时，确定所述第一防护策略的防护性能不满足要求。

优选地，所述检测单元401，还用于按照预设周期向服务器发送检测信息；所述防护单元402，还用于当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，确定所述第一防护策略的防护性能不满足要求。

优选地，所述检测信息为预设的检测信息；所述检测单元401，还用于当所述服务器处于服务状态时，接收所述服务器基于所述预设的检测信息发送的预存的响应信息。

优选地，所述检测单元401，还用于按照预设周期将目标HTTP请求的源地址更换为防护设备的IP地址，得到携带有所述防护设备的IP地址的检测信息，所述目标HTTP请求为客户端发送的HTTP请求中的任意一个经过验证的请求；向所述服务器发送所述检测信息。

优选地，所述检测单元401，还用于当接收到所述服务器基于所述检测信息发送的响应信息时，将所述响应信息中的目的地址更换为所述目标HTTP请求中的源地址；发送更换目的地址后的所述响应信息。

优选地，所述防护单元402，还用于统计每个预定时间间隔内接收到的HTTP请求的数量；当连续预设数量的预定时间间隔内接收到的HTTP请求的数量均不大于第二阈值时，停止防护。

优选地，所述防护单元402，还用于统计预定时间间隔内接收到的HTTP请求的数量；当所述预定时间间隔内接收到的HTTP请求的数量大于第二阈值时，使用所述第一防护策略进行防护。

本发明实施例提供的针对HTTP Flood攻击的防护装置，能够自动的对攻击方式及防护效果进行检测，并针对不同的攻击方式对使用的防护策略进行自动调整，既能够提升防护效果，又能够较大程度地降低对用户正常使用的影响，并且及时性好。

需要说明的是：上述实施例提供的针对HTTP Flood攻击的防护装置在进行防护时，仅以上述各功能单元的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元完成，即将装置的内部结构划分成不同的功能单元，以完成以上描述的全部或者部分功能。另外，上述实施例提供的针对HTTP Flood攻击的防护装置与针对HTTP Flood攻击的防护方法的实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

参见图5，为本发明实施例提供的防护设备的结构示意图。该防护设备500可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器522(例如，一个或一个以上处理器)和存储器532，一个或一个以上存储应用程序542或数据544的存储介质530(例如一个或一个以上海量存储设备)。其中，存储器532和存储介质530可以是短暂存储或持久存储。存储在存储介质530的程序可以包括一个或一个以上单元(图示没标出)，每个单元可以包括对防护设备中的一系列指令操作。更进一步地，中央处理器522可以设置为与存储介质530通信，在防护设备500上执行存储介质530中的一系列指令操作。

防护设备500还可以包括一个或一个以上电源529，一个或一个以上有线或无线网络接口550，一个或一个以上输入输出接口558，一个或一个以上键盘554，和/或，一个或一个以上操作系统541，例如Windows ServerTM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM等等。

防护设备500可以包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行上述防护方法的指令。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种针对HTTP Flood攻击的防护方法，其特征在于，所述方法应用于防护设备中，所述方法包括：

当使用第一防护策略进行防护时，检测所述第一防护策略的防护性能；

当所述第一防护策略的防护性能不满足要求时，使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。
根据权利要求1所述的方法，其特征在于，所述检测所述第一防护策略的防护性能，包括：

统计预定时间间隔内向服务器发送的HTTP请求的数量，当向服务器发送的HTTP请求的数量大于第一阈值时，确定所述第一防护策略的防护性能不满足要求。
根据权利要求1所述的方法，其特征在于，所述检测所述第一防护策略的防护性能，包括：

统计预定时间间隔内向服务器发送的HTTP请求的流量，当向服务器发送的HTTP请求的流量大于预设流量时，确定所述第一防护策略的防护性能不满足要求。
根据权利要求1所述的方法，其特征在于，所述检测所述第一防护策略的防护性能，包括：

按照预设周期向服务器发送检测信息，当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，确定所述第一防护策略的防护性能不满足要求。
根据权利要求4所述的方法，其特征在于，所述检测信息为预设的检测信息，所述按照预设周期向服务器发送预设的检测信息之后，还包括：

当所述服务器处于服务状态时，所述服务器接收到所述预设的检测信息后，获取预存的响应信息；

向所述防护设备发送所述响应信息。
根据权利要求4所述的方法，其特征在于，所述按照预设周期向服务器发送检测信息，还包括：

按照预设周期将目标HTTP请求的源地址更换为防护设备的IP地址，得到携带有所述防护设备的IP地址的检测信息，所述目标HTTP请求为客户端发送的HTTP请求中的任意一个经过验证的请求；

向所述服务器发送所述检测信息。
根据权利要求6所述的方法，其特征在于，向所述服务器发送所述检测信息之后，包括：

当接收到所述服务器基于所述检测信息发送的响应信息时，将所述响应信息中的目的地址更换为所述目标HTTP请求中的源地址；

发送更换目的地址后的所述响应信息。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

统计每个预定时间间隔内接收到的HTTP请求的数量；

当所述预定时间间隔内接收到的HTTP请求的数量大于第二阈值时，使用所述第一防护策略进行防护；

当连续预设数量的预定时间间隔内接收到的HTTP请求的数量均不大于第二阈值时，停止防护。
一种针对HTTP Flood攻击的防护装置，其特征在于，所述装置包括：

检测单元，用于当使用第一防护策略进行防护时，检测所述第一防护策略的防护性能；

防护单元，用于当所述第一防护策略的防护性能不满足要求时，使用第二防护策略进行防护，所述第二防护策略的防护等级高于所述第一防护策略的防护等级。
根据权利要求9所述的装置，其特征在于，

所述检测单元，具体用于统计预定时间间隔内向服务器发送的HTTP请求的数量；

所述防护单元，具体用于当向服务器发送的HTTP请求的数量大于第一阈值时，确定所述第一防护策略的防护性能不满足要求。
根据权利要求9所述的装置，其特征在于，

所述检测单元，还用于统计预定时间间隔内向服务器发送的HTTP请求的流量；

所述防护单元，还用于当向服务器发送的HTTP请求的流量大于预设流量时，确定所述第一防护策略的防护性能不满足要求。
根据权利要求9所述的装置，其特征在于，

所述检测单元，还用于按照预设周期向服务器发送检测信息；

所述防护单元，还用于当在预设时间段内没有接收到所述服务器基于所述检测信息发送的响应信息时，确定所述第一防护策略的防护性能不满足要求。
根据权利要求12所述的装置，其特征在于，所述检测信息为预设的检测信息；

所述检测单元，还用于当所述服务器处于服务状态时，接收所述服务器基于所述预设的检测信息发送的预存的响应信息。
根据权利要求12所述的装置，其特征在于，

所述检测单元，还用于按照预设周期将目标HTTP请求的源地址更换为防护设备的IP地址，得到携带有所述防护设备的IP地址的检测信息，所述目标HTTP请求为客户端发送的HTTP请求中的任意一个经过验证的请求；向所述服务器发送所述检测信息。
根据权利要求14所述的装置，其特征在于，

所述检测单元，还用于当接收到所述服务器基于所述检测信息发送的响应信息时，将所述响应信息中的目的地址更换为所述目标HTTP请求中的源地址；发送更换目的地址后的所述响应信息。
根据权利要求9所述的装置，其特征在于，

所述防护单元，还用于统计每个预定时间间隔内接收到的HTTP请求的数量；

当所述预定时间间隔内接收到的HTTP请求的数量大于第二阈值时，使用所述第一防护策略进行防护；

当连续预设数量的预定时间间隔内接收到的HTTP请求的数量均不大于第二阈值时，停止防护。
一种防护设备，其特征在于，所述防护设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至8任一所述的针对HTTP Flood攻击的防护方法。